如何在PHP中有條件地爲我的查詢添加一個子句？

Question

在我的搜索表單中，我有價值男性，價值女性和價值兩者。如果同時選擇了，我不希望有在那裏的「性別=‘$性’」

我應該做這樣的：

if(empty($sex)){ // value empty if you chose "both" 
$query = "SELECT firstname, lastname, id, user_name, sex, last_access, bostadsort FROM users WHERE (firstname LIKE '%$firstname%' OR lastname LIKE '%$lastname%')"; 
}else{ 
$query = "SELECT firstname, lastname, id, user_name, sex, last_access, bostadsort FROM users WHERE (firstname LIKE '%$firstname%' OR lastname LIKE '%$lastname%') AND sex = '$sex'"; 
} 

還是有寫這一個聰明的辦法？

Answer 1

如何不重複自己：

$query = "SELECT firstname, lastname, id, user_name, sex, last_access, bostadsort FROM users WHERE (firstname LIKE '%$firstname%' OR lastname LIKE '%$lastname%')"; 

if(!empty($sex)){ 
    $query = $query . " AND sex = '$sex'"; 
} 

Answer 2

你可以這樣做：

$sql = "SELECT ..."; 

if (!empty($gender)) 
{ 
    $sql .= " AND gender = '$gender'"; 
} 

，並確保觀看SQL注入攻擊。

Answer 3

做從未構建從用戶輸入的SQL字符串。這是準備好的陳述的目的。它們很安全，重新執行時執行得更快，而且易於使用，因此可以使用它們：

$sql = " 
    SELECT 
    firstname, lastname, id, user_name, sex, last_access, bostadsort 
    FROM 
    users 
    WHERE 
    (firstname LIKE '%'|| ? || '%' OR lastname LIKE '%'|| ? || '%') 
    AND Sex = CASE ? WHEN 'both' THEN Sex ELSE ? END 
"; 
$stmt = $mysqli->prepare($sql); 
$stmt->bind_param('ssss', $firstname, $lastname, $sex, $sex); 

$result = $stmt->execute();